淺議防火墻安全策略(一)

淺議防火墻安全策略

 隨著互聯(lián)網(wǎng)的不斷擴(kuò)展，病毒，黑客以及一些非法網(wǎng)站不斷攻擊著人們的電腦所以人們也漸漸提高了防范意識比如殺毒軟件的安裝和使用，防火墻的安裝和升級常常幫助我們防范了很多非法網(wǎng)絡(luò)，保證了內(nèi)部網(wǎng)絡(luò)安全。但是防火墻也不是萬能的，它也存在著很多不完善的東西，因此就需要我們不斷的去發(fā)現(xiàn)問題然后對它進(jìn)行不斷改進(jìn)才能讓防火墻變得更加完善更加可靠，本文針對目前防火墻所存在的問題進(jìn)行剖析，并對所述問題提出了對應(yīng)方案：自我防范的意識，對SSL流中的數(shù)據(jù)加密，利用Web應(yīng)用程序進(jìn)行滲透測試，根據(jù)系統(tǒng)環(huán)境來制作防范程序，防火墻深度檢測功能的運(yùn)用。
 一、防火墻概述
 防火墻是設(shè)置在用戶網(wǎng)絡(luò)和外界之間的一道屏障，是為了防止不可預(yù)料的、潛在的破壞侵入用戶網(wǎng)絡(luò)。也可以把它理解為是安裝了防火墻軟件的主機(jī)或者是路由器系統(tǒng)；它是保護(hù)可信網(wǎng)絡(luò)、防止黑客通過非可信網(wǎng)絡(luò)入侵的一種設(shè)備也因此所有的從內(nèi)部到外部或者從外部到內(nèi)部的通信都必須經(jīng)過它，只有內(nèi)部訪問策略授權(quán)的通信才能夠被允許通過，外部對內(nèi)部網(wǎng)絡(luò)的訪問都要受到它的限制。而它的系統(tǒng)本身也具有相當(dāng)高的可靠性。
 二、防火墻在設(shè)置上出現(xiàn)的問題
 1、防火墻不能防范不經(jīng)由防火墻的攻擊
 當(dāng)我們在上網(wǎng)過程中如果遇到了有某個(gè)網(wǎng)絡(luò)請求被允許通過而我們沒有用防火墻進(jìn)行攔截而是直接授權(quán)允許它通過；或者允許了從受保護(hù)網(wǎng)內(nèi)部不受限制地向外撥號，一些用戶可以形成與因特網(wǎng)之際的點(diǎn)對點(diǎn)協(xié)議（Point to Point Protocol）的連接，這就是繞過了防火墻從而造成了一個(gè)潛在后門的網(wǎng)絡(luò)攻擊。
 2、防火墻不能防止已經(jīng)感染了病毒的軟件或者是文件的傳輸
 現(xiàn)在有很多病毒、加密和壓縮的二進(jìn)制文件種類，防火墻根本不可能對每個(gè)文件逐個(gè)進(jìn)行掃描和查找潛在的病毒，所以要想不被病毒感染只有在防火墻的設(shè)置做一定的改進(jìn)或者利用其他網(wǎng)絡(luò)工具來達(dá)到自己想要的目的。
 3、防火墻無法檢測加密后的Web流量
 當(dāng)你正在規(guī)劃一個(gè)關(guān)鍵的門戶網(wǎng)站，而且也希望所有的網(wǎng)絡(luò)層和應(yīng)用層的漏洞都被屏蔽在這個(gè)應(yīng)用程序之外。這個(gè)需求，對于防火墻而言，確實(shí)是個(gè)大問題。由于網(wǎng)絡(luò)防火墻對于加密后的SSL流中的數(shù)據(jù)是看不見的，防火墻也無法迅速截獲SSL數(shù)據(jù)流并對它進(jìn)行解密，因此無法去阻止應(yīng)用程序被攻擊，甚至有些防火墻，根本就提供不了數(shù)據(jù)解密的這種功能。
 4、普通應(yīng)用程序加密后，也能夠輕易的躲過防火墻的檢測
 防火墻無法看到的不僅僅是SSL加密后的數(shù)據(jù)。對于應(yīng)用程序加密后的數(shù)據(jù)，同樣也看不見。現(xiàn)在大多數(shù)的防火墻中靠的是靜態(tài)的特征庫，和入侵監(jiān)測系統(tǒng)(IDS，Intrusion Detect System)的原理相似。只有當(dāng)應(yīng)用層受攻擊的行為特征與防火墻中的數(shù)據(jù)庫中已有的特征完全相同時(shí)，防火墻才能識別和截取攻擊數(shù)據(jù)。
 但是現(xiàn)在利用最常見的編碼技術(shù)，就能夠?qū)�惡意代碼和其他攻擊命令隱藏起來或者把它轉(zhuǎn)換成其他的形式，既能欺騙前端的網(wǎng)絡(luò)安全系統(tǒng)又能夠在后臺服務(wù)器中執(zhí)行。這種加密后的攻擊代碼，只要與防火墻規(guī)則庫中的規(guī)則不一樣，就能夠躲過網(wǎng)絡(luò)防火墻的阻止，成功避開他們之間的特征匹配。
 5、對于Web應(yīng)用程序，防火墻的防范能力是不足的
 防火墻比Web服務(wù)器提早出世。而基于狀態(tài)檢測的防火墻，它的設(shè)計(jì)原理，是基于網(wǎng)絡(luò)層TCP和IP地址來設(shè)置與加強(qiáng)狀態(tài)訪問控制列表(ACLS，Access Control Lists)的。在這一方面，防火墻表現(xiàn)確實(shí)是十分出色。
 近幾年來在實(shí)際應(yīng)用過程中，HTTP是主要的傳輸協(xié)議。主流的平臺供應(yīng)商和大的應(yīng)用程序供應(yīng)商，都已經(jīng)轉(zhuǎn)移到基于Web的體系結(jié)構(gòu)上，安全防護(hù)的目標(biāo)就不再只是重要的業(yè)務(wù)數(shù)據(jù)，并且防火墻的防護(hù)范圍也隨之發(fā)生了很大的改變。
 對于常規(guī)的企業(yè)局域網(wǎng)的防范，通用的網(wǎng)絡(luò)防火墻仍占有很高的市場份額，也繼續(xù)發(fā)揮著重要的作用，但是對于現(xiàn)在最新出現(xiàn)的上層協(xié)議，防火墻就顯得有些力不從心。
 由于體系結(jié)構(gòu)不同的原因，即使是現(xiàn)在用最先進(jìn)的防火墻，也很難去預(yù)防新的未知的攻擊。
 6、防火墻的應(yīng)用防護(hù)特性，只適用于最簡單的網(wǎng)絡(luò)環(huán)境的情況
 雖然現(xiàn)在有些先進(jìn)的防火墻供應(yīng)商，提出了應(yīng)用防護(hù)的特性，但也只適用于簡單的網(wǎng)絡(luò)環(huán)境中。仔細(xì)查看就會慢慢發(fā)現(xiàn)，防護(hù)特性對于實(shí)際的企業(yè)應(yīng)用來說，它們卻存在著很大的局限性。
 因?yàn)榉阑饓Φ捏w系結(jié)構(gòu)，決定了防火墻是針對網(wǎng)絡(luò)端口和網(wǎng)絡(luò)層進(jìn)行的操作，所以很難對應(yīng)用層進(jìn)行防護(hù)，除非是一些極其簡單的應(yīng)用程序。
 7、防火墻無法擴(kuò)展帶深度檢測的功能
 基于狀態(tài)檢測的防火墻，如果只是希望具有擴(kuò)展深度檢測(deep inspection)的功能，而沒有增加相應(yīng)的網(wǎng)絡(luò)性能，這是行不通的。真正針對所有網(wǎng)絡(luò)和應(yīng)用程序流量的深度檢測功能，需要空前的處理能力，從而來完成大量的計(jì)算任務(wù)。然而這些任務(wù)，在基于標(biāo)準(zhǔn)的PC硬件上，是沒有辦法高效的進(jìn)行運(yùn)行的，雖然有些防火墻供應(yīng)商采用的是基于ASIC的平臺，但是我們進(jìn)一步就能夠發(fā)現(xiàn)：以前的基于網(wǎng)絡(luò)的ASIC平臺對于新的深度檢測功能是沒有辦法去支持的。
 三、解決防火墻存在的問題的方案

首頁 上一頁 1 2 下一頁 尾頁 1/2/2